[РЕШЕНО] Проблема с центром обновления переименовались службы в конце bkp

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[LowBe]

LOWBOWWOW_2025-11-24_11-46-35_v5.0.3v x64.7z

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv11.0
   v400c
   OFFSGNSAVE
   regt 39
   ;---------command-block---------
   delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
   delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
   delref %Sys32%\USOCORE.DLL
   deltsk %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\DATARECOVERY
   deltsk %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\ONLOGONCHECK
   deltsk %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\RECOVERYDATA
   deltsk %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
   deltsk %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\WINLOGONCHECK
   delref WDE:\.EXE
   apply
   
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

После перезагрузки соберите новый образ автозапуска uVS (AutorunsVTChecker уже запускать не нужно).

[LowBe]

LOWBOWWOW_2025-11-24_12-05-58_v5.0.3v x64.7z

[Sandor]

Теперь ещё раз соберите новые логи FRST.txt и Addition.txt

[LowBe]

Addition.txtFRST.txt

[Sandor]

Постарайтесь по максимуму закрыть всё, что запущено и выполняется. 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  C:\Users\Asus\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\mmchdkdcnkebapenmookjkhckmagdmkp
  CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1445367944&z=fcf68ab1df3500eea44e4acg2z3zfw6cdq8mctfccb&from=wscy2&uid=KINGSTONXSV300S37A120G_50026B7255026B87
  CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1445367944&z=fcf68ab1df3500eea44e4acg2z3zfw6cdq8mctfccb&from=wscy2&uid=KINGSTONXSV300S37A120G_50026B7255026B87","hxxp://rusearch.co"
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Users\Asus"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  FirewallRules: [{870FC4B8-68EE-4243-8156-BAA9EB0C8E82}] => (Allow) LPort=1688
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 24 ноября пользователем Sandor
Убрал создание контрольной точки

[LowBe]

Опять так же как до этого было Fixlog.txt

Изменено 24 ноября пользователем LowBe

[Sandor]

Некоторое время подождите, советуюсь с коллегами. А пока интересует следующее: в заголовке темы вы пишете про службы с окончанием _bkp, однако в логах таких служб не видно.

Вы самостоятельно предпринимали какие-то шаги?

[LowBe]

 

20 минут назад, Sandor сказал:

Некоторое время подождите, советуюсь с коллегами. А пока интересует следующее: в заголовке темы вы пишете про службы с окончанием _bkp, однако в логах таких служб не видно.

Вы самостоятельно предпринимали какие-то шаги?

по похожей теме файлы скачал, которые сам нашел что в конце bkp реестровые и установил их

Хорошо жду решений! 

[Sandor]

По ошибке пока неясно что именно её вызывает:

Цитата

Проверка ошибок SECURE_KERNEL_ERROR имеет значение 0x0000018B. Это означает, что в защищенном ядре произошла неустранимая ошибка

 

Скрипт чуть переделал, пробуйте ещё раз выполнить.

[LowBe]

все так же без изменений ( 

[Sandor]

Поищите, пожалуйста, есть ли в системных папках файлы с дампами падения (расширение *.dmp). Если есть свежие, упакуйте их в архив и прикрепите к следующему сообщению. Будут превышать размер, залейте на облако и дайте ссылку на скачивание.

 

Дополнительно проделайте следующее - в командной строке, запущенной от имени администратора введите:

DISM.exe /Online /Cleanup-image /Restorehealth

Дождитесь окончания.

Затем там же введите:

sfc /scannow

 

Сообщите результаты.

[LowBe]

https://drive.google.com/file/d/1W3C7IBnzWV8pBft4fQ7VTsrY2_J6UEJf/view?usp=drive_link

[Sandor]

Дампы лежат в какой папке? Обычно они должны находиться в папке C:\Windows или C:\Windows\Minidump